Los hackers ahora usan emojis para controlar el malware

AXCESS · Junio 14, 2024, 08:30:19 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los piratas informáticos están maximizando su eficiencia al comunicarse con los servidores de comando y control. En lugar de escribir comandos, utilizan cosas como el emoji de "cámara con flash", que toma una captura de pantalla en el dispositivo de la víctima. El emoji de "zorro" comprime todos los perfiles de Firefox en el dispositivo, el "dedo que señala" filtra archivos a servidores nefastos y una "calavera" finaliza el proceso de malware cuando terminan.

Los piratas informáticos han modificado el servicio de mensajería Discord para usarlo para comando y control (C2), según descubrieron investigadores de la firma de ciberseguridad Volexity.

En 2024, el gobierno indio fue atacado por un malware denominado Disgomoji, que se atribuyó a un presunto actor de amenazas paquistaní denominado UTA0137. El análisis de Volexity revela que UTA0137, al utilizar emojis para su comunicación C2, parece tener éxito en campañas centradas en el espionaje y dirigidas a entidades gubernamentales indias.

El malware solo se dirige a sistemas Linux, específicamente a la distribución personalizada denominada BOSS, que utiliza el gobierno indio. Los investigadores creen que los actores de amenazas utilizaron ataques de phishing para el acceso inicial, como lo sugieren los documentos obtenidos utilizados como señuelo.

"El malware crea un canal dedicado para sí mismo en el servidor de Discord, lo que significa que cada canal en el servidor representa una víctima individual. El atacante puede entonces interactuar con cada víctima individualmente utilizando estos canales", se lee en el informe.

Una vez iniciado, Disgomoji envía un mensaje de registro que consta de la IP, el nombre de usuario, el nombre de host, el sistema operativo y el directorio de trabajo actual. Mantiene la persistencia y puede sobrevivir a los reinicios del sistema.

Luego, el malware espera mensajes adicionales. La comunicación se mantiene mediante un protocolo basado en emoji, y los atacantes deben enviar emojis como comandos al canal, con parámetros adicionales cuando corresponda. Mientras Disgomoji procesa el comando, reacciona con un emoji de "Reloj" y, cuando finaliza, se muestra el "Botón de marca de verificación".

Se utilizan muchos más emojis para varios comandos:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Disgomoji incluye un mecanismo que dificulta que Discord interrumpa sus operaciones. Incluso si el servidor malicioso está prohibido, el malware se puede restaurar actualizando las credenciales de Discord desde el servidor C2.

El malware tiene muchas características, como el uso de Nmap para escanear las redes de las víctimas, Chisel y Ligolo para hacer túneles de red y un servicio de intercambio de archivos para descargar y alojar datos exfiltrados. Haciéndose pasar por una actualización de Firefox, a veces el malware pide a las víctimas que escriban sus contraseñas.

"Disgomoji tiene capacidades de exfiltración que respaldan un motivo de espionaje, incluidos comandos convenientes para robar datos y documentos del navegador del usuario y exfiltrar datos", dijo Volexity.

Volexity atribuye esta actividad maliciosa a un actor de amenazas con sede en Pakistán "con moderada confianza".

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La muestra de malware tenía una zona horaria paquistaní codificada, había vínculos de infraestructura débiles con un actor de amenazas conocido con sede en Pakistán, se utilizó el idioma punjabi y los objetivos consistían en organizaciones que serían de interés para Pakistán.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los hackers ahora usan emojis para controlar el malware

AXCESS

Junio 14, 2024, 08:30:19 PM